9 Lagringstid
9.1 Gjeldende rett
Som det fremgår av kapittel 8 (hva skal lagres) oppstiller ekomloven § 2-7 annet ledd en sletteplikt for trafikkdata når disse ikke lenger er nødvendige for fakturerings- eller kommunikasjonsformål. Tilbydere lagrer i dag data til ovennevnte formål i henhold til konsesjoner gitt av Datatilsynet, jf. personopplysningsloven § 31 fjerde ledd jf. personopplysningsforskriften § 7-1. Maksimal lagringstid etter konsesjonen er fem måneder etter at de ble registrert ved kvartalsvis fakturering, og tre måneder etter at de ble registrert ved månedlig fakturering. Som det videre fremgår av kapittel 8 kan data knyttet til kundenes internettrafikk per i dag lagres i inntil tre uker.
9.2 Høringsnotatets forslag
Datalagringsdirektivet fastslår i artikkel 6 at relevante data skal lagres for en periode på mellom seks måneder og to år. Høringsnotatet inneholdt ikke noe forslag til lagringsperiode, men understrekte betydningen av at en lagringstid må balansere hensynet til kriminalitetsbekjempelse og hensynet til personvern. Hensynet til personvern tilsier at de relevante data ikke skal lagres lengre enn hva som er nødvendig av hensyn til kriminalitetsbekjempelse.
I høringsnotatet viste departementene til at hensynet til kriminalitetsbekjempelsen taler for fastsettelse av en lengre lagringsperiode enn seks måneder. Saker der det kan være spesielt behov for data eldre enn seks måneder er saker om terrorhandlinger og annen alvorlig kriminalitet, herunder saker om seksuelle overgrep, volds- og narkotikalovbrudd, organisert kriminalitet og lovbrudd med internasjonale relasjoner. Det kan være behov for lengre lagringstid enn ett år i saker der etterforskningen strekker seg over lang tid og hvor etterforskningen er tidkrevende. Det kan også gjelde der hvor nye omstendigheter dukker opp under førsteinstansbehandlingen i domstolen. Domstolenes bevisvurderinger kan være vanskelige, og i enkelte saker kan elektroniske data være avgjørende bevisstøttepunkter. Siden elektroniske data skal opplyse saken, kan de også tale til gunst for siktede. En begjæring fra forsvarer til påtalemyndigheten om å innhente (nye) data kan komme på et så sent tidspunkt i etterforskningen eller pådømmelsen at data har gått tapt.
Begrunnelsen for ikke å innføre lengre lagringstid enn seks måneder er i hovedsak personvernmessige hensyn. Det er sentralt i personvernsammenheng at personverninngrep aldri skal være større enn strengt nødvendig for formålet. En viktig innvending mot datalagring er inngrepet i borgernes kommunikasjonsfrihet. Innføring av datalagringsregler vil innebære en utvidelse av de typer data som skal lagres sammenliknet med det tilbyderne lagrer i dag. Samtidig utvides lagringstiden. Jo flere data som lagres, og jo lenger de lagres, jo større blir den akkumulerte informasjonsmengden, og jo enklere er det å analysere de registrertes kommunikasjonsmønstre, avdekke deres kontaktnett, bygge personprofiler etc. Det kan ikke utelukkes at denne muligheten for sammenstilling av data kan ha en nedkjølende effekt på borgernes kommunikasjon. Dette taler for å holde lagringstiden så kort som mulig, fordi kort lagringstid vil redusere mulighetene for kommunikasjonsanalyser og profilbygging noe. Hensynet til majoritetens personvern, tilsier at man bør velge det minst inngripende lagringsalternativet.
Norske myndigheter har innenfor elektronisk kommunikasjon en tradisjon for å se hen til de andre nordiske land når det gjelder regulering. Danmark og Finland har innført ett års lagringstid. Sverige har ennå ikke implementert datalagringsdirektivet. (Se kapittel 4.3.)
Departementene har merket seg at enkelte land skiller på lagringstid for ulike tjenester. Nederland har for eksempel ett års lagring for data knyttet til bruk av fasttelefon og mobiltelefon, og seks måneders lagring for data knyttet til bruk av Internett. I høringsnotatet fremmet departementene forslag om ikke å skille på lagringstid etter teknologi. Teknologinøytral regulering er et viktig prinsipp innenfor elektronisk kommunikasjon. Det vil si at regulering av en tjeneste skal være lik, uavhengig av teknologi eller produksjonsmåte. Ulik lagringstid kan innebære konkurransefordeler for tilbydere av tjenester basert på en teknologi som får kortere lagringstid enn tilbydere av tjenester basert på teknologier som får lengre lagringstid. Datalagringsdirektivet nevner tre former for taletjenester: fasttelefoni, mobiltelefoni og bredbåndstelefoni. Å pålegge ulik lagringstid for disse tjenestene vil være uheldig, da tilbyderne av disse tjenestene konkurrerer i det samme markedet. Høringsinstansene ble særskilt bedt om sitt syn på lagringstid.
9.3 Høringsinstansenes syn
Post- og teletilsynet, Politidirektoratet, Riksadvokaten, Økokrim, Oslo statsadvokatembeter, Kripos, PST, Det nasjonale statsadvokatembetet, Telenor, NetCom, Ventelo, Get, Tele2, TDC, Kabel Norge, NextGenTel, Politijuristene, Politiets felleforbund, Norsk Narkotikapolitiforening, IKT-Norge, Stine Sofie stiftelsen, UNIO, HSH, Finansnæringens Fellesorganisasjon, Akademikerne, Teknologirådet, Advokatforeningem, NITO, TEKNA, og NorSIS har problematisert spørsmålet om lagringstid.
Det er viktig å merke seg at en rekke av de høringsinstanser som har uttalt seg om lagringstid, ikke nødvendigvis er for implementering av direktivet. Noen sier eksplisitt at de ikke tar stilling til for eller mot. Andre, som for eksempel IKT-Norge og NITO er prinsipielt i mot, men uttaler seg subsidiært om lagringstid, og ønsker minimumstid.
Post- og teletilsynet har vurdert ulike typer saker og ulike typer tjenester opp mot lagringstid. Tilsynet mener det i mange saker kunne vært aktuelt å gi fritak fra taushetsplikten en lengre periode tilbake i tid, hvis dataene var lagret, og at dette skulle tilsi lang lagringstid. Basert på erfaringene med håndteringen av politiets fritaksbegjæringer uttaler tilsynet følgende:
«[…], er det PTs inntrykk at politiet kun i et fåtall av tilfellene begrenser sine begjæringer om fritak fra taushetsplikten for å kunne få utlevert historiske trafikkdata til perioder som er kortere enn slike data faktisk lagres i dag. Det er også PTs inntrykk at det i mange saker ville vært aktuelt å gi fritak for en lengre periode tilbake i tid, hvis dataene var lagret. Særlig gjelder dette i narkotikasaker, hvor de mistenkte i mange tilfelle mistenkes for å ha bedrevet den kriminelle aktivitet i lengre perioder enn den perioden hvor dataene faktisk lagres i dag. Dette gjelder imidlertid ikke i alle typer saker.»
I relasjon til basestasjonssøk er det tilsynets erfaring at det veldig sjelden anmodes om å muliggjøre basestasjonssøk lengre tilbake i tid enn to måneder. Tilsynet uttaler følgende om basestasjonssøk:
«I relasjon til å kunne foreta basestasjonssøk, er det PTs erfaring at dette sjeldent begjæres for perioder særlig langt tilbake i tid. Som oftest mottar PT begjæringer for å muliggjøre slike søk innen samme arbeidsuke som den aktuelle kriminelle handling har skjedd. Det understrekes imidlertid at det er unntak fra dette, men det er veldig sjeldent at PT mottar begjæringer for å muliggjøre basestasjonssøk lenger tilbake i tid enn to måneder. Basert på politiets nåværende bruk av basestasjonssøk som etterforskningsmetode, tilsier ikke hensynet til å kunne foreta basestasjonssøk lengre lagringstid enn direktivets minimum.»
Post- og teletilsynet foreslår etter en helhetsvurdering, og under forutsetning av det tilgangsregimet som høringsnotatet fremmet forslag om, ett års lagringstid.
De fleste høringsinstansene fra politisiden ønsker så lang lagringstid som mulig.
Politidirektoratet uttaler:
«Med alvorlig og organisert kriminalitet ser vi en økende grad av internasjonal etterforskning, et økende fokus på bakmenn og en større grad av profesjonalitet blant kriminelle. Politidirektoratet ser det derfor slik at man som utgangspunkt ønsker at lagringstiden i direktivet utnyttes fullt ut, dvs. en lagringstid på to år.»
Likevel mener Politidirektoratet at avveid mot hensyn til personvern og kostnader kan det innføres kortere lagringstid enn to år (minst ett år).
Riksadvokaten antar at en lagringstid på ett år vil være tilstrekkelig for de behov politiet har i de fleste saker, og understreker at også seks måneders lagringstid vil være av stor betydning. Oslo Statsadvokatembeter peker på at økt lagringstid samler mer informasjon som kan gi større nytteverdi, og de peker på muligheten for seks måneders lagring. Seks måneders lagring vil være en begrenset økning i forhold til i dag og innebære at politiets arbeid ikke endres vesentlig. Kripos ønsker minst ett års lagringstid og begrunner dette med at de bedriver reaktiv etterforskning, at etterforskningen er en dynamisk prosess, at det er økt grad av profesjonalisering blant kriminelle og at etterforskning ofte har internasjonal karakter. Politiets sikkerhetstjeneste mener lagringstiden bør være ett år på linje med de fleste europeiske land. Det samme mener Det nasjonale statsadvokatembetet.
Av andre høringsinstanser som foreslår ett års lagringstid, herunder HSH og Finansnæringens Fellesorganisasjon, er det særlig behovet for harmonisering med andre nordiske land som er begrunnelsen. Organisasjoner som representerer bransjer som er særlig utsatt for vinningskriminalitet ønsker harmoniserte internasjonale regler for at politiet skal få virkemidler til å etterforske denne type saker.
Samtlige tilbydere av ekomnett og -tjenester som uttaler seg om lagringstid mener det eventuelt må innføres seks måneders lagring da dette vil være minst inngripende i kundenes privatliv.
Telenor uttaler:
«Telenor anbefaler kortest mulig lagringstid da dette er minst inngripende opp mot den enkelte kundes privatliv. Vi støtter også at lagringstid skal være teknologinøytralt, det vil si samme lagringstid for alle data.»
TDC peker på at det ikke er dokumentert behov for lengre lagringstid, mens Kabel Norge viser til at de fleste forespørslene fra politiet skjer i de tre første måneder av en etterforskning.
Også andre, herunder IKT-Norge, Akademikerne, Teknologirådet og NorSIS ønsker en kortest mulig lagringstid.
NorSIS uttaler:
«NorSIS støtter departementenes oppfatning om at lagringstiden bør balansere hensyn til kriminalitetsbekjempelse og hensynet til personvern. NorSIS er av den oppfatning at man bør begynne med en restriktiv lagringstid, dvs. minimumskrav. Andre lands erfaringer bør også legges til grunn ved beslutning om lagringstid. NorSIS mener at datalagringstiden heller bør justeres på sikt enn å settes høyt i utgangspunktet».
Advokatforeningen mener at utsettelsen av spørsmålet om lagringstid splitter debatten på en beklagelig måte og at det å utelate forslag om lagringstid i høringen er sterkt kritikkverdig.
9.4 Departementets vurdering
Datalagringsdirektivet foreskriver som nevnt ovenfor at lagringstiden skal være mellom seks måneder og to år. I dette tidsspennet foreslår departement at det i Norge skal gjelde en lagringstid på ett år. Det er i samsvar med det behov som nærmest unisont har kommet fra politi og påtalemyndighet. En del andre europeiske land, herunder Danmark og Finland har også lagt seg på ett års lagringstid.
Departementet har merket seg at svært mange høringsinstanser er i mot datalagringsdirektivet og i den grad de har uttalt seg om lagringstid går inn for at den skal være kortest mulig. Det har fremkommet mange gode argumenter for å velge kort lagringstid, men en rekke momenter trekker også i retning av lengre lagringstid enn minimumstiden på seks måneder.
Post- og teletilsynets erfaringer når det gjelder begjæringer om fritak fra taushetsplikt for innhenting av trafikkdata, støtter forslaget om ett års lagringstid. Tilsynet har gjennom en årrekke opparbeidet seg kompetanse og oversikt over hvilke saker som skulle tilsi lang lagringstid og hvilke saker som skulle tilsi kort lagringstid. Når tilsynet anbefalte ett års lagringstid i sitt høringssvar, var det under forutsetning av at reglene om politiets tilgang til data skulle skjerpes. For så vidt gjelder forutsetningen ligger den også til grunn for dette forslaget, jf. kapittel 12.
Departementet mener en avveining mot personvernet ikke tilsier en lagringstid på to år. Data lagres i dag fra tre til fem måneder, og et sprang til to år vil være for stort, og kan etter departementets vurdering ikke forsvares i forhold til politiets dokumenterte behov. Informasjon om bruk av Internett lagres i en svært begrenset periode for driftsrelaterte formål, og maks tre uker, jf. Datatilsynets vedtak fra mai 2009. Lagring av denne type opplysninger i medhold av direktivet vil således være en betydelig utvidelse i forhold til gjeldende rett. Politi og påtalemyndighet opplever at lagringsperioden på tre uker er alt for kort i saker om internettrelaterte seksuelle overgrep. Dette kommer klarest til uttrykk i saker hvor politiet får melding om et lovbrudd først etter at lagringsperioden på tre uker har utløpt. Det vises til at en del ofre bruker tid på å bearbeide hendelsen og eventuelle traumer før saken anmeldes. I tillegg kommer at saker hvor det samarbeides med utenlandske politimyndigheter er tidkrevende.
Kripos har bl.a. fremholdt at anmodninger om utlevering av data over landegrenser kan være tidkrevende, siden slike anmodninger ofte behandles av en rekke instanser. Hensynet til internasjonalt samarbeid og etterforskning taler derfor også for en noe lengre lagringstid enn direktivets minimum på seks måneder.
Foreløpige signaler fra EU tyder på at politiet i det alt vesentlige etterspør data som er nyere enn seks måneder. Etter dette går etterspørselen etter data ned, selv om det også etterspørres en del data frem til de er 12 måneder gamle. Bare unntaksvis etterspørres data eldre enn 12 måneder. Storbritannias EU-formannskap viste i forbindelse med vedtakelsesprosessen av direktivet til en britisk undersøkelse hvor det fremgår at 85 % av de data som ble brukt, var mindre enn seks måneder gamle. Undersøkelsen viste imidlertid at data som var mellom syv og tolv måneder gamle ble brukt i de alvorligste sakene, fortrinnsvis drapssaker.
Dette stemmer med norske erfaringer. Både i Orderudsaken (kapittel 5.4.7.6) og Nokassaken (kapittel 5.4.7.8) ble det etterspurt data som var eldre enn seks måneder. I Nokassaken ble det satt inn maksimalt med ressurser, men data gikk tapt fordi seks av de senere domfelte, deriblant hovedmannen, ble pågrepet etter at lagringsperioden var utløpt. I alvorlige saker kan etterforskningen være krevende fordi gjerningspersonene har vært bevisste på å dekke til spor etter forbrytelsen. Informasjon som legger et grunnlag for innhenting av data kan komme sent i etterforskningen av alvorlige saker. Et typeeksempel på tidkrevende etterforskning er saker hvor politiet må gå gjennom lister over hundrevis av alibikandidater for utsjekking, for eksempel på grunnlag av et basestasjonssøk ved åstedet, eller ved søk etter matchende DNA-materiale. Ifølge Kripos’ undersøkelse (kapittel 5.4.6.3) var 50,4 % av etterforskerne i 966 saker «helt enig», og 9,5 % «litt enig» i at det ville vært aktuelt å hente trafikkdata lengre tilbake i tid dersom dette hadde vært mulig i forhold til dagens lagringspraksis. I 21,5 % av sakene var etterforskerne «helt uenige» i dette. Tallene for IP-trafikk var også noe lavere. Et par eksempler på saker hvor det ville vært aktuelt for politiet å innhente eldre data, er sakene «Operasjon Broken Lorry» og «Operasjon Andromeda», begge omtalt i kapittel 5.4.7.2. I disse sakene var norske trafikkdata slettet, men som følge av politisamarbeid fikk politiet tilgang til eldre data fra henholdsvis Nederland og Sverige, hvor lagringstiden er lengre. Saker om savnede personer som senere får status som drapssak er en annen type saker hvor kort lagringstid kan føre til at data går tapt (sakseksempel i kapittel 5.4.7.12).
Etter departementets syn taler også behovet for å bekjempe terror for ett års lagringstid. Den britiske undersøkelsen viste at i halvparten av sakene som gjaldt etterforskning av terrorhandlinger, var de etterspurte data over seks måneder gamle. Ifølge PST stemmer dette med norske erfaringer. Behovet for eldre data gjelder også andre saker som PST har ansvaret for, hvor de mistenkte gjennomgår en «bearbeidingsprosess» på forhånd. Dette kan være sosialisering inn i et ytterliggående religiøst miljø, eller personer som søkes vervet av etterretningsoffiserer.
Departementet har merket seg at de fleste tilbyderne er i mot datalagringsdirektivet og har uttrykt bekymring for kundenes personvern. Det følger av dette at tilbyderne ønsker så kort lagringstid som mulig dersom en lagringsplikt skal innføres.
Departementet har videre merket seg at tilbyderne er opptatt av kostnadene knyttet til lagring og lagringstid. Det fremgår av Telenors høringsuttalelse at kostnadene vil øke desto lengre man skal lagre data.
Departementet vil i den forbindelse vise til Teleplans utredninger som sier at lagringstid bare i noen grad virker inn på kostnadene for tilbyder. Lagringskapasitet er etter Teleplans oppfatning ikke en betydelig kostnadsdrivende faktor. For mer om kostnader, se kapittel 16. Kostnadene vil uansett ikke være avgjørende for valg av lagringstid, her vil politiets behov og hensynet til personvernet veie tyngre.
9.5 Nærmere om lovforslaget
En lovbestemt lagringsplikt vil føre til lik lagringstid hos alle tilbydere for de dataene lagringsplikten gjelder. Departementet foreslår at det innføres en lagringstid på 12 måneder for de data som fremgår av kapittel 8. Det foreslås videre at det ikke skal skilles mellom teknologier. Dette medfører at det foreslås lik lagringstid for de ulike tjenestene og ulike typer data.